Comodo AV Labs xác định các game thủ nhắm mục tiêu lừa đảo

Thời gian đọc: 6 phút

Đóng góp: Ionel Pomana, Thẩm phán Kevin
Trò chơi điện tử đã đóng một vai trò quan trọng trong lịch sử của máy tính và là một lý do quan trọng cho sự phổ biến của chúng như một sản phẩm tiêu dùng. Các gia đình đã có người chơi trò chơi điện tử trong nhà từ rất lâu trước khi họ có máy tính cá nhân. Khả năng cung cấp các trang web sao chép chặt chẽ hơn trải nghiệm của phần mềm độc lập đã được cải thiện đáng kể trong những năm gần đây, vì vậy không có gì ngạc nhiên khi trang web trò chơi trực tuyến cũng đã bùng nổ.

Theo ebizmba.com, trang web chơi game hàng đầu là ign.com với con số đáng kinh ngạc 20 triệu người truy cập hàng tháng. Trên thực tế, tất cả các trang web trong danh sách 15 hàng đầu của họ đều vượt quá 1.5 triệu người truy cập mỗi tháng. Cũng không có gì ngạc nhiên khi các tin tặc tội phạm đang cố gắng khai thác sự nổi tiếng của chúng cho các âm mưu bất chính.

Giới thiệu chung

Mục tiêu chính của các kế hoạch như vậy là các trò chơi được phân phối thông qua Steam, một nền tảng phân phối trò chơi phổ biến. Những trò chơi này có thể chơi ngoại tuyến hoặc trực tuyến, với hoặc với những người chơi khác là con người. Thật không may, những người chơi trực tuyến cũng có thể có công ty của những “người chơi” mà họ không biết: những kẻ lừa đảo tội phạm và những kẻ viết phần mềm độc hại.

Một số trò chơi có cái gọi là "vật phẩm trong trò chơi" mà người chơi sử dụng để cải thiện trải nghiệm chơi trò chơi. Những vật phẩm này được mua trong trò chơi bằng tiền thật và giá của chúng có thể thay đổi từ vài xu đến vài trăm đô la. Người chơi sử dụng chúng trong trò chơi, đổi chúng lấy các vật phẩm khác hoặc bán chúng cho những người chơi khác trong “Chợ cộng đồng”.

Điều này có nghĩa là tài khoản người chơi có thể trở thành một giải thưởng phong phú nếu bị những kẻ gian lận xâm phạm.

Phần mềm độc hại cố gắng xâm nhập tài khoản trò chơi không phải là điều gì đó mới mẻ, nhưng Comodo antivirus Labs đã xác định một cách tiếp cận mới mà bọn tội phạm đang sử dụng để chiếm đoạt tài khoản của các trò chơi được phân phối trên Steam. Bài viết này và những thông tin sau đây được cung cấp để giúp các game thủ nhận thức được những mối đe dọa như vậy và hy vọng tránh được chúng.

Tin nhắn Lừa đảo

Tất cả bắt đầu với một tin nhắn nhận được từ một cá nhân không xác định qua hệ thống nhắn tin của trò chơi. Vì nhiều lý do khác nhau, người dùng được yêu cầu theo một siêu liên kết.

Mục tiêu chính của hacker là lấy thông tin đăng nhập trò chơi trực tuyến của người chơi.

Siêu liên kết đưa người dùng đến một trang giống như một trang web hợp pháp, nhưng trên thực tế là một trang lừa đảo do tin tặc thiết kế. Trong trường hợp của chúng tôi, tên miền được liên kết rất giống với một trang web của bên thứ ba hợp pháp để kinh doanh các mặt hàng trò chơi, nhưng chỉ với hai chữ cái được thay đổi trong tên miền.

Người dùng có thể dễ dàng nhầm nó với trang web hợp pháp nổi tiếng.

Các trang web lừa đảo

Khi liên kết được mở, nó sẽ hiển thị một bản sao của trang giao dịch hợp pháp với một đề nghị giao dịch rất hấp dẫn và có lợi nhuận. Tham khảo bản in lụa bên dưới:

Trên trang web thương mại hợp pháp, một ưu đãi thương mại có thể được đáp ứng bằng cách đăng nhập bằng tài khoản trò chơi của bạn bằng giao thức OpenID. Khi người dùng muốn đăng nhập, anh ta được chuyển hướng đến trang web của nhà cung cấp trò chơi, nơi anh ta đăng nhập và xác nhận rằng anh ta cũng muốn đăng nhập trên trang web của bên thứ ba.

Sau đó, anh ta được chuyển hướng trở lại trang web giao dịch nơi anh ta hiện đã đăng nhập và có thể bắt đầu hoặc phản hồi bất kỳ giao dịch nào anh ta muốn. Tuy nhiên, trên trang web lừa đảo tình hình hơi khác một chút.

Sau khi người chơi nhấn vào nút đăng nhập, anh ta sẽ không được chuyển hướng đến trang web của nhà cung cấp trò chơi mà đến một trang rất giống với trang của nhà cung cấp trên cùng một miền, nơi người dùng được yêu cầu nhập thông tin đăng nhập tài khoản của mình.

Một manh mối rằng đây không phải là một trang web hợp pháp là SSL không được kích hoạt. Bất cứ khi nào bạn ở một trang web yêu cầu bạn nhập thông tin cá nhân, đừng làm điều đó trừ khi bạn đã xác nhận rằng dòng địa chỉ cho biết “https”Thay vì chỉ“ http ”và biểu tượng khóa hiển thị. Mọi doanh nghiệp trực tuyến hợp pháp đều cho phép SSL bởi vì nó bảo vệ người dùng của mình bằng giao tiếp an toàn.

Trong trường hợp này, khi dữ liệu người dùng và mật khẩu được gửi, không có hành động đăng nhập nào được thực hiện. Thay vào đó, thông tin xác thực đã gửi được gửi đến những tên tội phạm đã tạo ra trang web lừa đảo.

Giai đoạn II của Scam

Nhiều tương tự phishing scamchẳng hạn như đối với người dùng ngân hàng, sẽ dừng lại ở đây với hành vi trộm cắp thông tin đăng nhập của người dùng. Thật không may, trò lừa đảo này đi xa hơn.

Sau khi thông tin đăng nhập được gửi và bị đánh cắp, một cửa sổ bật lên sẽ thông báo cho người dùng rằng "người bảo vệ trò chơi" cần được bật trên hệ thống máy tính để có thể đăng nhập. “Steam Guard” thực sự là một tập hợp các biện pháp bảo mật (bao gồm xác thực hai yếu tố) do nhà cung cấp trò chơi đưa ra để ngăn chặn việc chiếm đoạt tài khoản và đánh cắp thông tin đăng nhập.

Trong trường hợp này, bọn tội phạm đang dụ người dùng chạy một ứng dụng độc hại, có tên “Steam Activation Application.exe”. Trang web lừa đảo sẽ tải xuống ngay khi cửa sổ bật lên được hiển thị.

Như đã thấy bên dưới, ứng dụng độc hại không được lưu trữ trên miền tương ứng mà trên Google Drive.

Khi nó được chạy, ứng dụng đọc từ khóa đăng ký đường dẫn nơi chứa ứng dụng khách Steam.
HKEY_LOCAL_MACHINEPhần mềmValveSteamInstallPath

Sau khi đọc vị trí, nó bắt đầu tìm kiếm tất cả các tệp có tên bắt đầu bằng chuỗi “ssfn”.

Khi tìm thấy tệp bắt đầu bằng “ssfn”, nội dung sẽ được đọc và dữ liệu nhị phân được chuyển đổi thành bộ nhớ dưới dạng biểu diễn thập lục phân thuần văn bản.

Điều này được thực hiện để cho phép ứng dụng trojan lấy cắp tệp bằng cách gửi tệp qua phương thức POST đến máy chủ web tại 82.146.53.11.

Nếu gửi thành công, ứng dụng sẽ hiển thị thông báo cho biết “Bạn hiện có quyền truy cập vào tài khoản Steam của mình từ máy tính này!”, Nếu không, ứng dụng sẽ hiển thị thông báo rằng đã xảy ra lỗi:
Đã xảy ra lỗi khi kích hoạt tài khoản (lỗi đọc đĩa)

Sau khi hiển thị thành công hoặc thông báo lỗi, trojan thực thi cmd.exe với tham số “del” để tự xóa. Bằng cách này, nó đang cố gắng xóa dấu vết của nó khỏi hệ thống để người dùng không nghi ngờ bất kỳ hoạt động đáng ngờ nào.

Mục đích của việc lấy cắp tệp “ssfn *” là gì?
Các tệp này chứa dữ liệu tài khoản Steam và dữ liệu xác thực hai yếu tố. Khi tệp được đưa vào thư mục của Steam trên hệ thống khác, mã thông báo xác thực hai yếu tố sẽ không được yêu cầu nữa, bất kỳ cá nhân nào sử dụng tệp tương ứng sẽ có quyền truy cập vào tài khoản từ tệp với toàn quyền truy cập.

Bằng cách này, các trò chơi có thể được truy cập và chơi, các vật phẩm trong trò chơi (một số có thể rất đắt tiền) bị đánh cắp hoặc đổi lấy casj, lịch sử giao dịch đã xem hoặc thậm chí có thể thay đổi chi tiết đăng nhập tài khoản và địa chỉ email để chủ sở hữu ban đầu sẽ không thể sử dụng tài khoản nữa hoặc thậm chí khôi phục nó.

Cách ngăn chặn việc chiếm đoạt tài khoản như vậy

Lời khuyên sau áp dụng cho trò lừa đảo này, nhưng cũng là hầu hết các biến thể của trò lừa đảo:

• Cảnh giác là cách phòng thủ tốt nhất:
  Không nhấp vào bất kỳ liên kết nào nhận được từ người lạ hoặc thậm chí liên kết đáng ngờ từ bạn bè, những người có thể là nạn nhân của không tặc. Đảm bảo rằng mọi quy trình đăng nhập bạn thực hiện đều được thực hiện trên Các trang web hỗ trợ SSL thông qua giao thức https, các trang web chứng minh danh tính của họ theo cách này. Kiểm tra kỹ các tên miền để tìm bất kỳ sự trùng khớp đáng ngờ nào.
• Sử dụng DNS an toàn dịch vụ:
  Bất kỳ hệ thống nào cũng nên sử dụng dịch vụ DNS an toàn, chẳng hạn như Comodo DNS an toàn điều đó sẽ cảnh báo bạn trong trường hợp có nỗ lực lừa đảo.
• Sử dụng một bộ bảo mật mạnh mẽ với tường lửa và tiên tiến bảo vệ phần mềm độc hại:
  Đảm bảo rằng bạn đã cài đặt Bảo mật Internet Comodo để được được bảo vệ khỏi phần mềm độc hại có thể đến hệ thống của bạn.

Phân tích nhị phân

SHA1: 339802931b39b382d5ed86a8507edca1730d03b6
MD5: b205e685886deed9f7e987e1a7af4ab9
Phát hiện: TrojWare.Win32.Magania.STM

Nguồn liên quan:

BẮT ĐẦU DÙNG THỬ MIỄN PHÍ NHẬN MIỄN PHÍ SCORECARD NGAY LẬP TỨC